Tisíce aplikácií pre iPhone sú deravé ako sito. Hackeri sa môžu poľahky dostať do miliónov zariadení
Bezpečnostní experti odhalili niekoľko vážnych slabín v nástroji, ktorý používajú vývojári iOS a MacOS aplikácií.
Open-source kód sa dnes nachádza takmer v každej jednej aplikácii. Ide o funkcie, ktoré niekto navrhol a následne ich voľne zdieľal na internete, aby ich mohol použiť niekto ďalší. Zároveň sa tým ale zvyšuje riziko útoku.
Ako vysvetľujú bezpečnostní analytici z E.V.A Sec, pri vývoji veľkej aplikácie je niekedy až nevyhnutné použiť nejaký open-source kód, či už hovoríme o knižniciach, balíkoch dát alebo rozhraniach. Niektoré open-source balíky ale môžu byť navrhnuté tak, aby sa dali ľahko napadnúť a pomocou nich do aplikácie dostať škodlivý kód.
Bezpečnostní experti sa s podobnými metódami útoku stretli v posledných rokoch niekoľkokrát, pričom najznámejším je útok Log4Shell. Najnovšie ale odhalili slabiny v ekosystéme CocoaPods, čo je open-soruce softvér, ktorý vývojárom aplikácií umožňuje overiť integritu a autenticitu komponentov, ktoré pri vytváraní aplikácie používajú.
Ak sa hackerom podarí dostať sa do takéhoto softvéru, začínajú predstavovať obrovské riziko. Hackeri by totiž mohli začať šíriť škodlivé aktualizácie v obrovskej škále. V najnovšom výskume bezpečnostní analytici zistili, že CocoaPods platforma má niekoľko vážnych slabých miest, ktoré dovoľujú vložiť škodlivý kód do množstva najpopulárnejších iOS a MacOS aplikácií.
Tisíce ohrozených balíkov
V roku 2014 vznikli tisíce “osirelých” balíkov, ktoré sa používajú dodnes v iných knižniciach. Tieto balíky nemajú svojho majiteľa. Hackeri mohlo pomocou verejného API a e-mailovej adresy dostupnej v zdrojovom kóde CocoaPods prevziať vlastníctvo nad akýmkoľvek osirelým balíkom. Následne mohli pôvodný kód nahradiť svojim vlastným škodlivým kódom.
Neprehliadni
Bezpečnostní experti odhalili, že táto forma útoku môže zasiahnuť obrovské množstvo iOS a MacOS aplikácií, rovnako ako aj ďalší softvér od Apple. Hrubý odhad naznačuje, že zraniteľné môžu byť tisíce až milióny aplikácií. Hackeri môžu na týchto aplikáciách vykonať takzvaný supply-chain útok.
Najobľúbenejšia voľba iOS vývojárov
CocoaPods platforma je najobľúbenejšou voľbou pre iOS vývojárov. Bezpečnostní experti zatiaľ nedokážu odhadnúť presné škody no potenciálne by mohlo byť ohrozených množstvo aplikácií, ktoré sa nachádzajú nainštalované na miliónoch až miliardách rôznych zariadení.
Množstvo aplikácií má prístup k citlivým informáciám, napríklad platobným údajom, zdravotným záznamom, osobným dátam a iným. Ak by sa hackerovi podarilo zneužiť slabiny v systéme CocoaPods a dostať škodlivý kód do týchto aplikácií, potom by mali prístup k týmto dátam.
Kyberzločinci by následne prístup mohli zneužiť na prakticky čokoľvek, podvod, vydieranie, špionáž alebo ransomware útoky. V najhoršom možnom prípade by útoky mohli uškodiť množstvu užívateľov a tvrdo zasiahnuť reputáciu spoločností.
“Vývojári a organizácie by sa mali pozrieť na zoznam závislostí a manažérov balíkov, akých používajú vo svojich aplikáciách. Zároveň by mali skontrolovať aj knižnice tretích strán a pravidelne kontrolovať svoje aplikácie, či sa v nich nenachádza škodlivý kód alebo iné podozrivé zmeny. Samozrejmosťou je aj pravidelné aktualizovanie softvéru a obmedzenie používania osirelých alebo neudržiavaných balíkov,” Píšu bezpečnostní experti.
Obzvlášť veľký pozor by si mali dať vývojári a organizácie, ktoré používali CocoaPods pred októbrom 2023. Bezpečnostní experti poznamenávajú, že slabiny objavené v CocoaPods sú dôležitou pripomienkou rizík, ktoré súvisia so spoliehaním sa na open-source kód a tretie strany.
Dnes sú open-source knižnice integrované do väčšiny aplikácií cez automatizované procesy. V roku 2024 sa tomu vyhneme len veľmi ťažko, no vývojári by mali mať stále na pamäti možné dôsledky spoliehania sa na open-source kód. Zároveň by mali mať vývojári v malíčku to, z akého kódu sa skladá ich vlastná aplikácia.
Vývojári sa môžu spoľahnúť na manažérov balíku na to, aby mohli efektívne využívať open-source softvér. Títo manažéri sa však zároveň môžu stať centrálnym bodom útoku. Vývojári CocoaPods reagovali na objavené slabiny rýchlo a zodpovedne.
Komentáre